범부처 해킹대책…"이통사 불시 점검하고 신고 없이도 정부조사"

(서울=뉴스1) 윤주영 기자 = 공공·민간을 가리지 않고 굵직한 침해사고가 연달아 발생하자, 정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 정보기술(IT) 시스템을 대상으로 보안 취약점 점검을 추진하기로 했다. 해킹·데이터 유출로 홍역을 앓은 이동통신 3사 대상으론 실제 해킹에 준하는 강도 높은 불시 점검이 이뤄진다.

또 기업의 침해사고 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 권한을 확대한다.

22일 서울 중구 광화문 정부서울청사에서 배경훈 부총리 겸 과학기술정보통신부 장관은 국가정보원·개인정보보호위원회·금융위원회·행정안전부와 함께 범부처 정보보호 종합 대책을 브리핑했다.

수개월간 몰렸던 사이버 침해사고는 민관을 가리지 않았고, 국가 배후의 정보전 성격도 띠고 있다. 하지만 민간 침해사고는 과기정통부, 금융 부문은 금융보안원, 공공 부문은 국정원 등 정부 조사체계가 쪼개진 탓에 효율적인 대응이 힘들었다는 지적이 있었다.

지적을 수용한 정부는 유기적인 대응체계를 가동, 국가적 위기를 타개하겠다고 제시했다. 대통령 직속 국가안보실을 중심으로 보안 소관부처가 뭉쳐 종합 대책을 수립·추진한다.

정부는 즉각 추진할 수 있는 단기적 과제부터 제시했다. 구체적으로 △핵심 IT 시스템 대상 대대적인 보안 점검 △소비자 중심 사고 대응 체계 구축 △민·관 정보보호 투자 확대 △글로벌 기준에 부합하는 보안환경 및 제도 조성 △차세대 보안기업 및 기업 수요 중심의 화이트 해커 육성 등이 있다.

우선 IT 시스템 점검에 더해 안정성이 담보되지 못한 소형기지국(펨토셀)은 즉각 폐기한다. 불법 펨토셀의 경우 최근 KT 무단 소액결제 사태의 주요 수법으로 지목됐다.

형식적 보안 인증에 그쳤다고 비판받은 한국인터넷진흥원(KISA)·개보위 'ISMS/ISMS-P' 역시 현장 심사 중심으로 개선한다. 중대 취약점이 발견된 기업은 인증이 취소될 수 있다. 이 밖에도 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.

아울러 기업의 보안 부실이 명백하다면, 소비자의 피해 입증 책임은 경감시킨다. 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구제 체계를 구축해야 한다.

개인정보 유출로 기업이 낸 과징금은 피해자 지원 등에 활용할 수 있도록 기금 신설을 검토한다.

기업의 침해 정황만 확인되면 정부가 먼저 현장 조사를 할 수 있도록 권한도 확대한다. 기존에는 정보통신망법 한계 상 기업의 자발적 신고가 있어야 조사가 가능했다.

아울러 해킹 지연 신고, 재발 방지책 미이행, 개인·신용 정보 반복 유출 등을 저지른 기업에는 제재 수위를 높인다. 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등이 예정됐다.

국정원의 조사·분석 도구 역시 민간과 공동 활용하도록 한다. AI 기반 지능형 포렌식실을 구축, 분석 시간도 건당 5일 수준으로 대폭 단축한다.

정보보호 투자의 경우 공공은 내년 1분기 내로 정보화 대비 일정 이상의 관련 예산·인력을 확보한다고 약속했다. 정부 정보보호책임관의 직급 역시 기존 국장급에서 실장급으로 상향한다. 위기 상황 대응 역량 강화 훈련 고도화, 공공기관 경영평가 시 사이버보안 배점 상향 등을 추진한다.

민간 역시 정보보호 공시 의무 기업을 상장사 전체로 확대한다. 공시 결과를 토대로 보안 역량 수준을 등급화해서 공개하는 제도를 추진한다.

아울러 기업 최고경영자(CEO)의 보안 책임을 법령으로 명문화하고, 보안최고책임자(CISO·CPO) 역시 권한을 대폭 확대한다. CISO·CPO 등은 모든 IT 자산의 통제권, 관련 인력·예산 편성·집행권 등을 가지는 한편 이사회에 정기 보고하는 의무를 지게 된다.

갈라파고스화된 보안 기술환경도 뜯어고쳐야 한다. 금융·공공기관 이용자에게 설치를 강요하던 기존 보안 소프트웨어를 단계적으로 제한, 다중 인증 및 AI 기반 이상 탐지 시스템 등으로 전환한다.

클라우드, AI 확산 등 글로벌 트렌드에 맞지 않은 획일적인 물리적 망 분리도 개선한다. 내년부터는 시스템이 아닌 데이터를 중심으로 보안 체계를 전환하고, 클라우드 보안 요건 개선 등 민간의 공공 진출 문턱도 낮춘다.

장기적으론 보안 산업계의 육성이 필요하다. AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 연 30개 사 수준으로 육성하고, 현장 수요 중심으로 화이트해커도 키운다. 정보보호특성화대학·융합보안대학원 등은 권역별 보안 인재 양성 허브로 기능이 확대된다.

이 밖에도 국가 핵심 인프라인 주요정보통신기반시설 역시 지정 범위가 확대된다. 기반 시설의 사고 원인을 조사할 때는 침해사고대책본부(국가사이버위기관리단)가 가동된다.

파편화한 정부의 보안 조사체계의 경우, 민관군 합동 조직인 국정원 산하 국가사이버위기관리단을 중심으로 재정비한다. 부처 간 사이버 위협 예방·대응 협력도 강화한다.

정부는 연내 중장기 과제를 망라하는 '국가 사이버안보 전략'을 수립할 계획이다.

legomaster@news1.kr